ご参考資料(ブログ):台頭するファイルレス・マルウェアも検出可能なCheck Point SandBlast Agent
新機能「Behavioral Guard」を使い、不正なふるまいを検出
米カルフォルニア州 サン カルロス - 2018年8月23日(日本では2018年9月11日付)
攻撃の際にファイルを使用しない「ファイルレス・マルウェア」が増加しています。この高度な攻撃手法では、攻撃者が標的のマシンを攻撃する際、マルウェアをインストールする必要がありません。そのため、(シグネチャーベースの)従来型のアンチウイルス・ソリューションでは検出することができません。ファイルレス・マルウェアは、標的のマシンに存在する既存の脆弱性を悪用し、Windows Management Instrumentation(WMI)やPowerShellなどの一般的なシステム管理ツールを用いて、通常は安全であると信頼されているプロセスに不正なコードを挿入します。
攻撃の際にファイルを使用しない「ファイルレス・マルウェア」が増加しています。この高度な攻撃手法では、攻撃者が標的のマシンを攻撃する際、マルウェアをインストールする必要がありません。そのため、(シグネチャーベースの)従来型のアンチウイルス・ソリューションでは検出することができません。ファイルレス・マルウェアは、標的のマシンに存在する既存の脆弱性を悪用し、Windows Management Instrumentation(WMI)やPowerShellなどの一般的なシステム管理ツールを用いて、通常は安全であると信頼されているプロセスに不正なコードを挿入します。
増加の一途を辿るこのファイルレス・マルウェアを非常に効果的に検出できるのが、先ごろチェック・ポイントがリリースしたSandBlast Agentの新機能、Behavioral Guardです。Behavioral Guardは、簡単に言えば、あらゆる不正なふるまいを検出して対処する振る舞い検出エンジンです。独自のフォレンジック技術を活用して未知のマルウェアのふるまいを効果的に検出し、そのマルウェア・ファミリーを正確に特定します。この高度な検出技術は、マルウェアの継続的な進化に適応する柔軟性を備えており、正規のスクリプト・ツールの悪用など、次々出現する新しい攻撃手法にも対応することが可能です。
Behavioral Guardの投入依頼、チェック・ポイントは、従来型の技術では検出困難なファイルレス攻撃を数多く発見しています。最近、お客様環境のPCで見つかった攻撃の1つでは、ファイルレスのペイロードがWMIのファイル・システムの奥深くに隠されており、システムの起動時など特定のイベント時にのみ、Windowsシステムによってバックグラウンドで密かに実行されていました。
この攻撃では、PowerShellを実行する永続的なWMIイベント・コンシューマ・オブジェクトを作成し、インラインのスクリプトでWindowsの認証情報を収集、パブリック・クラウド・サービス上のサーバにアップロードしていました。PowerShellは、現行のすべてのWindowsオペレーティング・システムに標準搭載されている、Microsoftによる署名付きの信頼されたプロセスです。シグネチャで検出できる一般的なマルウェア攻撃と異なり、この攻撃は、ディスクにファイルを書き込んだり、オペレーティング・システム上で不正なプロセスを実行したりすることなく、システムの奥深くで進行します。しかし、チェック・ポイントのBehavioral Guardは、スクリプトが難読化されたこのファイルレス攻撃の検出に成功しています。
スクリプト型のマルウェアは、本格的なファイル・ベースのマルウェアよりも短時間で簡単に作成できることから、攻撃者の間ではスクリプト型に移行する動きが広がっています。また、攻撃におけるスクリプトの使用は、ファイルとは違う課題をセキュリティ・ベンダーに突きつけています。スクリプト型マルウェアの詳細については、こちらのレポート(http://blog.checkpoint.com/wp-content/uploads/2016/05/CPTheScriptingThreat_GainingPopularityMay2016.pdf)をご覧ください。
ファイルレス攻撃の観測数は、増加する一方です。防御側の組織は、この攻撃の特徴や、従来型のアンチウイルス・ソリューションでは検出困難であるという事実を理解しておく必要があります。一般的なエンドポイント・セキュリティ対策は、高度なファイルレス攻撃に対してまったくの無力であり、いわゆる次世代アンチウイルス(NGAV)ソリューションでもこれらの攻撃を検出することはできません。しかし上で述べたように、SandBlast AgentのBehavioral Guard技術は、ファイルレス攻撃に対して有効に機能することが実証されています。既知の攻撃だけでなく、まだ見ぬ未知の攻撃に対しても、同様の効果が期待できます。
本ブログは、米国時間8月23日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。
https://blog.checkpoint.com/2018/08/23/file-less-malware-no-match-for-sandblast-agent/
日本のブログ本文はこちらをご確認ください。
https://www.checkpoint.co.jp/threat-cloud/2018/09/file-less-malware-no-match-for-sandblast-agent.html
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
Behavioral Guardの投入依頼、チェック・ポイントは、従来型の技術では検出困難なファイルレス攻撃を数多く発見しています。最近、お客様環境のPCで見つかった攻撃の1つでは、ファイルレスのペイロードがWMIのファイル・システムの奥深くに隠されており、システムの起動時など特定のイベント時にのみ、Windowsシステムによってバックグラウンドで密かに実行されていました。
この攻撃では、PowerShellを実行する永続的なWMIイベント・コンシューマ・オブジェクトを作成し、インラインのスクリプトでWindowsの認証情報を収集、パブリック・クラウド・サービス上のサーバにアップロードしていました。PowerShellは、現行のすべてのWindowsオペレーティング・システムに標準搭載されている、Microsoftによる署名付きの信頼されたプロセスです。シグネチャで検出できる一般的なマルウェア攻撃と異なり、この攻撃は、ディスクにファイルを書き込んだり、オペレーティング・システム上で不正なプロセスを実行したりすることなく、システムの奥深くで進行します。しかし、チェック・ポイントのBehavioral Guardは、スクリプトが難読化されたこのファイルレス攻撃の検出に成功しています。
スクリプト型のマルウェアは、本格的なファイル・ベースのマルウェアよりも短時間で簡単に作成できることから、攻撃者の間ではスクリプト型に移行する動きが広がっています。また、攻撃におけるスクリプトの使用は、ファイルとは違う課題をセキュリティ・ベンダーに突きつけています。スクリプト型マルウェアの詳細については、こちらのレポート(http://blog.checkpoint.com/wp-content/uploads/2016/05/CPTheScriptingThreat_GainingPopularityMay2016.pdf)をご覧ください。
ファイルレス攻撃の観測数は、増加する一方です。防御側の組織は、この攻撃の特徴や、従来型のアンチウイルス・ソリューションでは検出困難であるという事実を理解しておく必要があります。一般的なエンドポイント・セキュリティ対策は、高度なファイルレス攻撃に対してまったくの無力であり、いわゆる次世代アンチウイルス(NGAV)ソリューションでもこれらの攻撃を検出することはできません。しかし上で述べたように、SandBlast AgentのBehavioral Guard技術は、ファイルレス攻撃に対して有効に機能することが実証されています。既知の攻撃だけでなく、まだ見ぬ未知の攻撃に対しても、同様の効果が期待できます。
本ブログは、米国時間8月23日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。
https://blog.checkpoint.com/2018/08/23/file-less-malware-no-match-for-sandblast-agent/
日本のブログ本文はこちらをご確認ください。
https://www.checkpoint.co.jp/threat-cloud/2018/09/file-less-malware-no-match-for-sandblast-agent.html
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
